Just nu är det mycket information – och kanske en del oro – kopplat till den nya dataskyddsförordningen, GDPR.
Jag har arbetat med säkerhetsskydd och datalagring, vilket innebär att jag har goda kunskaper om hur man skyddar data och framförallt de nödvändiga processerna för detta.
Vi har under många år haft personuppgiftslagen, PUL, så vad är egentligen nytt?
Framförallt handlar det om individens rättigheter, vilket innebär att man måste ha ett ändamål med datalagringen, samtycke från individen och möjlighet att kunna både informera, flytta samt korrigera och ta bort data vid anmodan.
Att tänka på:
Säkerhet: Var, när och hur sparar jag mitt data? Behöver jag kryptera? Är det skyddat mot röjning?
Behörighet: Vem behöver komma åt data och varför behöver man komma åt den? Vem ansvarar för den? Hur sker autentisering?
Korrekthet: Är det rätt data, dvs den data jag behöver för mitt ändamål?
Ansvar: Se till att lagen följs, ge berörd personal utbildning och rutiner. Samma ansvar gäller för övrigt vid extern lagring.
Lagringstid: Hur länge behöver jag lagra data? Raderas det automatiskt i alla system? Bör lagringstiden tidsbegränsas automatiskt?
Dokumentation & processer: I exempelvis rekryteringsverktyg sparas data som det är viktigt att man har koll på: att det stämmer med ändamålet samt att man har klara rutiner för samtycke, utlämning, informationsplikt och hur man säkerställer att det är rätt individ.